CDN保护伞

Radware可实现的防护

    1. 抵抗常规的攻击

    CDN本身具有很强的抗攻击能力，它不但可以为网络中的服务器提供负载均衡功能，还提供了以下防攻击手段来保护网络中的服务器：

    l通过对无效连接的管理来防止使用没有开放的服务进行攻击；

    l实现源路由的跟踪，防止IP欺骗

    l不用Ack缓冲应答未确认的SYN，防止SYN风暴；

    l防止连续和接管的攻击；

    l不运行SMTPd，FTPd，Telnetd等易受到攻击的进程；

    l具有较高的安全性；

    由于以上这些固有的安全特性及抗攻击能力，大大提高网络的安全性。

    2. 攻击防护

    通过对WSD设备的简单设置，即可完成多种攻击防护。

    如后门防护：

    只要在复选框中选择BackdoorTrojanProtection即可。

    3. 病毒流量消除

    通过SynApps种的带宽管理策略设置，即可完全屏蔽Nimda病毒。过程简单描述如下：

    设置新的Service，名称为Nimda。该Service检测HTTP数据包中是否含有Nimda病毒的特征码：cmd.exe。

    设置规则屏蔽病毒。

    次序源目标方向操作优先级带宽限制服务

    1AnyAnyTwoWayBlockRealtime0Nimda

    该规则即可双向防止Nimda病毒的传播。

    Radware应用安全（SynApps）实现原理简介

    SynApps架构的应用安全模块分为5个部分：

    1. 检测引擎（分类器）：负责对网络流量（目前为IP 流量）进行分类，并将其与设备上安装的安全策略进行匹配。然后由Response Engine（响应引擎）执行操作。

    2. 跟踪模块：不是所有的攻击都是由具有特定模式或者信息的数据包来启动的。一些攻击是由一系列数据包产生的，这些共同存在的数据包才会导致攻击发生。

    因此，SynApps使用基于5个独立组件的历史机制，以不同的方式来识别每一个组件：

    l 通过源IP 识别

    l 通过目标IP 识别

    l 通过源和目标IP 识别

    l 通过过滤器类型识别

    3. TCP 检查系统：始终跟踪每个TCP 会话（源和目标IP 以及源和目标端口）并被用来识别TCP 端口扫描。

    4. 响应引擎：根据策略产生的规则结果执行相应的操作。这些操作类型包括：

    l 丢弃数据包(Drop, Reject)

    l 转发数据包(Forward)

    l 发送重置（丢弃数据包并向发送者发送Reset（重置））

    l 发送RST/ACK 和RST（如果检测到端口扫描，它会向目标发送RST/ACK 数据包以及向源发送者发送RST）以“愚弄”扫描器

    l SNMP Trap（用于Report Module）

    l Syslog 操作（日志机制– 通过SNMP）

    5. 报告模块：通过SNMP traps、syslog 消息和设备的统计表生成报告和警报。

    设备发送（或者保留在其表中）的消息包含下列内容之一：

    l 攻击开始信息（开始日期或时间、攻击名称、源地址、目标地址）

    l 攻击结束信息（结束日期或时间、攻击名称、源地址、目标地址）

    l 发生的攻击信息（攻击发生的日期或时间、攻击名称、源地址、目标地址）